Sie müssen das Schlüssel-Zertifikat-Paar zur Verwaltung der VMware Cloud Director-Appliance unter Umständen aus Sicherheitsgründen, wegen des Ablaufs von Zertifikaten, wegen Upgrades oder Änderungen an der Appliance oder zur Einhaltung von Compliance-Anforderungen ersetzen.
Prozedur
- Melden Sie sich direkt oder mithilfe von SSH beim Betriebssystem der VMware Cloud Director-Appliance als root an.
- Erstellen Sie eine Sicherungskopie der ursprünglichen Datei namens vcd_ova.crt.
cp /opt/vmware/appliance/etc/ssl/vcd_ova.crt /opt/vmware/appliance/etc/ssl/vcd_ova.crt.original
cp /opt/vmware/appliance/etc/ssl/vcd_ova.key /opt/vmware/appliance/etc/ssl/vcd_ova.key.original
- Erzeugen Sie selbstsignierte Zertifikate nur für die eingebettete PostgreSQL-Datenbank und die Appliance-Verwaltungsbenutzeroberfläche von VMware Cloud Director.
/opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
Der Befehl bewirkt, dass die neu erzeugten Zertifikate für die eingebettete PostgreSQL-Datenbank und die Verwaltungsbenutzeroberfläche der Appliance verwendet werden. Der PostgreSQL- und der Nginx-Server werden neu gestartet.
- Wenn Sie von einer Zertifizierungsstelle signierte Zertifikate verwenden, rufen Sie die von der Zertifizierungsstelle signierten Zertifikate ab, kopieren Sie sie und starten Sie die Dienste neu.
- Erstellen Sie eine Zertifikatsignieranforderung in der Datei vcd_ova.csr.
openssl req -new -key /opt/vmware/appliance/etc/ssl/vcd_ova.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out vcd_ova.csr
- Senden Sie die Zertifikatsignieranforderung an die Zertifizierungsstelle.
Wenn Sie einen Webservertyp angeben müssen, verwenden Sie Jakarta Tomcat.
Sie erhalten das von der Zertifizierungsstelle signierte Zertifikat.
- Kopieren Sie das von der Zertifizierungsstelle signierte Zertifikat.
cp ca-signed-vcd_ova.pem /opt/vmware/appliance/etc/ssl/vcd_ova.crt
- Starten Sie die
nginx
- und postgres
-Dienste neu.
systemctl restart nginx.service
systemctl restart vpostgres.service